Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Чтобы подключить виртуальную сеть Azure (виртуальную сеть) и локальную сеть с помощью Azure ExpressRoute, необходимо сначала создать шлюз виртуальной сети. Шлюз виртуальной сети служит двумя целями: обмен IP-маршрутами между сетями и маршрутизацией сетевого трафика.
В этой статье описываются различные типы шлюзов, номера SKU шлюза и оценка производительности по номеру SKU. В этой статье также описана функция ExpressRoute FastPath, которая позволяет сетевому трафику из локальной сети обходить шлюз виртуальной сети для повышения производительности.
Типы шлюзов
При создании шлюза виртуальной сети нужно указать несколько параметров. Один из обязательных -GatewayTypeпараметров указывает, используется ли шлюз для expressRoute или VPN-трафика. Существуют два типа шлюзов:
Vpn: чтобы отправить зашифрованный трафик через общедоступный Интернет, используйтеVpnдля-GatewayType(также называемый VPN-шлюзом). Соединения типа "site-to-site", "point-to-site" и "VNet-to-VNet" все используют шлюз VPN.ExpressRoute: для отправки сетевого трафика в частном подключении используйтеExpressRouteдля-GatewayType(также называемого шлюзом ExpressRoute). Этот тип шлюза используется при настройке ExpressRoute.
В виртуальной сети каждому типу шлюза может соответствовать только один шлюз виртуальной сети. Например, у вас может быть один шлюз виртуальной сети, который использует Vpn для -GatewayType, и другой, который использует ExpressRoute для -GatewayType.
SKU шлюзов
Во время создания шлюза виртуальной сети нужно указать SKU шлюза, который вы хотите использовать. При выборе более высокого типа SKU для шлюза, шлюзу выделяется больше процессоров и пропускной способности сети. В результате шлюз сможет поддерживать более высокую пропускную способность для виртуальной сети.
Для шлюзов виртуальной сети ExpressRoute можно использовать следующие значения SKU.
- ERGwScale (предварительная версия)
- Стандарт
- Высокая производительность
- UltraPerformance
- ErGw1Az
- ErGw2Az
- ErGw3Az
Шлюз можно обновить до SKU с более высокой емкостью в том же семействе SKU, который поддерживает или не поддерживает Az.
Например, можно обновить:
- Из одного SKU без поддержки AZ на другой SKU без поддержки AZ.
- Из одного SKU с поддержкой Az в другой SKU с поддержкой Az
Для всех других сценариев понижения необходимо удалить и повторно создать шлюз, что приводит к простою.
Создание подсети шлюза
Прежде чем создавать шлюз ExpressRoute, необходимо создать подсеть для него. Виртуальные машины шлюза виртуальной сети и службы используют IP-адреса, содержащиеся в подсети шлюза.
При создании шлюза виртуальной сети его виртуальные машины развертываются в подсети шлюза и на них настраиваются необходимые параметры шлюза ExpressRoute. Никогда не разворачивайте ничего другого в подсети шлюза. Для правильной работы подсети шлюза должно быть присвоено имя GatewaySubnet, так как это позволяет Azure знать, чтобы развернуть виртуальные машины и службы шлюза виртуальной сети в этой подсети.
Примечание.
Определяемые пользователем маршруты с назначением 0.0.0.0/0 и группами безопасности сети (NSG) в подсети шлюза не поддерживаются. Шлюзы с такой конфигурацией блокируются и не могут быть созданы. Для правильной работы шлюзов нужен доступ к контроллерам управления. Распространение маршрутов протокола BGP для пограничного шлюза должно быть включено в подсети шлюза, чтобы обеспечить доступность шлюза. Если распространение маршрутов BGP отключено, шлюз не будет работать.
Диагностика, путь к данным и путь управления могут быть затронуты, если определенный пользователем маршрут совпадает с диапазоном подсети шлюза или диапазоном общедоступных IP-адресов шлюза.
- Мы не рекомендуем развертывать частный резольвер Azure DNS в виртуальной сети с шлюзом виртуальной сети ExpressRoute и задавать правила подстановочного знака для направления всех запросов разрешения имен на конкретный DNS-сервер. Такая конфигурация может вызвать проблемы с подключением к управлению.
При создании подсети шлюза указывается количество IP-адресов, которое содержит подсеть. IP-адреса в подсети шлюза выделяются виртуальным машинам и службам шлюза. Некоторым конфигурациям требуется больше IP-адресов, чем прочим.
При планировании размера подсети шлюза обратитесь к документации по конфигурации, которую собираетесь создать. Например, для конфигурации сосуществования vpn-шлюза ExpressRoute и VPN требуется более крупная подсеть шлюза, чем большинство других конфигураций. Кроме того, может потребоваться убедиться, что подсеть шлюза содержит достаточно IP-адресов для размещения возможных будущих конфигураций.
Рекомендуется создать подсеть шлюза со значением /27 или больше. Если вы планируете подключить 16 каналов ExpressRoute к шлюзу, необходимо создать подсеть шлюза /26 или больше. Если вы создаете подсеть шлюза с поддержкой двух стэков, рекомендуется также использовать диапазон IPv6 /64 или больше. Эта настройка подходит для большинства конфигураций.
В следующем примере PowerShell Azure Resource Manager показана шлюзовая подсеть под именем GatewaySubnet. Вы можете увидеть, что нотация CIDR указывает /27, что обеспечивает достаточно IP-адресов для большинства существующих конфигураций.
Add-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -AddressPrefix 10.0.3.0/27
Внимание
Группы сетевой безопасности в подсети шлюза не поддерживаются. Связывание группы безопасности сети с этой подсетью может привести к остановке работы шлюза виртуальной сети (VPN и шлюзов ExpressRoute). Дополнительные сведения о группах безопасности сети см. в статье Фильтрация сетевого трафика с помощью групп безопасности сети.
Ограничения и производительность шлюза виртуальной сети
Поддержка функций по SKU шлюза
В следующей таблице показаны функции, поддерживаемые каждым типом шлюза, и максимальное количество подключений канала ExpressRoute, поддерживаемых каждым номером SKU шлюза.
| Gateway - код товара | Сосуществование VPN-шлюза и ExpressRoute | БыстрыйПуть | Максимальное количество подключений к каналу |
|---|---|---|---|
| Стандартный SKU/ERGw1Az | Да | Нет | 4 |
| Высокопроизводительный артикул SKU/ERGw2Az | Да | Нет | 8 |
| SKU с сверхвысокой производительностью, ErGw3Az | Да | Да | 16 |
| ErGwScale (предварительная версия) | Да | Да — минимум 10 единиц масштабирования | 4 — минимум 1 единицы масштабирования 8 — не менее 2 единиц масштабирования 16 — минимум 10 единиц масштабирования |
Примечание.
Максимальное количество каналов ExpressRoute из одной точки пиринга, которые могут быть подключены к одной виртуальной сети, составляет 4 для всех типов шлюзов.
Приблизительная производительность по SKU шлюза
В следующих таблицах представлен обзор различных типов шлюзов, их соответствующих ограничений и ожидаемых метрик производительности.
Максимальные поддерживаемые ограничения
Эта таблица относится как к моделям Azure Resource Manager, так и к классическим моделям развертывания.
| Gateway - код товара | Мегабит в секунду | Пакеты в секунду | Поддерживаемо число виртуальных машин в виртуальной сети 1 | Ограничение количества потоков | Количество маршрутов, выученных шлюзом |
|---|---|---|---|---|---|
| Стандартный/ERGw1Az | 1 000 | 100 000 | 2 000 | 200 000 | 4000 |
| Высокая производительность, ERGw2Az | 2 000 | 200 000 | 4 500 | 400 000 | 9500 |
| Ультравысокая производительность, ErGw3Az | 10 000 | 1 000 000 | 11 000 | 1 000 000 | 9500 |
| ErGwScale (на единицу масштабирования 1–10) | 1 000 на единицу масштабирования | 100 000 за единицу шкалы | 2000 за единицу масштабирования | 100 000 за единицу шкалы | 60 000 всего на каждый шлюз |
| ErGwScale (на единицу масштабирования 11–40) | 1 000 на единицу масштабирования | 200 000 единиц измерения масштаба | 1 000 на единицу масштабирования | 100 000 за единицу шкалы | 60 000 всего на каждый шлюз |
1 Значения в таблице оцениваются и зависят от использования ЦП шлюза. Если загрузка ЦП высока и количество поддерживаемых виртуальных машин превышается, шлюз начнет удалять пакеты.
Примечание.
ExpressRoute может упростить до 11 000 маршрутов, охватывающих адресные пространства виртуальной сети, локальные сети и любые соответствующие подключения к пирингу виртуальной сети. Чтобы обеспечить стабильность подключения ExpressRoute, воздерживайтесь от рекламы более 11000 маршрутов в ExpressRoute. Максимальное количество маршрутов, объявленных шлюзом, — 1000 маршрутов.
Внимание
- Производительность приложения зависит от нескольких факторов, таких как сквозная задержка и количество потоков трафика, которые открывает приложение. Числа в таблице представляют собой верхний предел, которого приложение может теоретически достичь в идеальных условиях. Кроме того, мы выполняем обычное обслуживание узла и ОС на шлюзе виртуальной сети ExpressRoute для обеспечения надежности службы. В течение периода обслуживания снижается пропускная способность уровня управления и пути передачи данных шлюза.
- В течение периода обслуживания могут возникать периодические проблемы с подключением к ресурсам частной конечной точки.
- ExpressRoute поддерживает максимальный размер пакета TCP и UDP размером 1400 байт. Размеры пакетов размером более 1400 байт будут фрагментированы.
- Сервер маршрутизации Azure может поддерживать до 4 000 виртуальных машин. Этот предел включает виртуальные машины в виртуальных сетях с установленным соединением. Дополнительные сведения см. в разделе об ограничениях сервера маршрутизации Azure.
- Значения в таблице выше представляют пределы для каждого SKU шлюза.
Общедоступный IP-адрес размещенногоBehalf-Of (HOBO)
Функция публичного IP-адреса, размещённого вBehalf-Of (HOBO), упрощает развертывание шлюза ExpressRoute, позволяя Microsoft управлять необходимым публичным IP-адресом от вашего имени. Для PowerShell/CLI больше не требуется создавать или поддерживать отдельный общедоступный IP-ресурс для шлюза.
Ключевые преимущества:
- Улучшенная безопасность: Общедоступный IP-адрес управляется корпорацией Майкрософт и не предоставляется вам, что снижает риски, связанные с открытыми портами управления.
- Снижение сложности: Не нужно развертывать и управлять общедоступным IP-ресурсом.
- Упрощенное развертывание: Azure PowerShell и CLI больше не запрашивают общедоступный IP-адрес во время создания шлюза.
Принцип работы.
При создании шлюза ExpressRoute корпорация Майкрософт автоматически подготавливает общедоступный IP-адрес в безопасной серверной подписке. Этот IP-адрес инкапсулируется в ресурсе шлюза, что позволяет Корпорации Майкрософт применять такие политики, как ограничения скорости данных и повысить удобство аудита.
Наличие:
Общедоступный IP-адрес HOBO недоступен для развертываний виртуальной глобальной сети (vWAN) или расширенной зоны.
Подключение из виртуальной сети к виртуальной сети и из виртуальной сети к виртуальной глобальной сети
По умолчанию подключение VNet-к-VNet и VNet-к-виртуальной-WAN отключено через схему ExpressRoute для всех SKU шлюзов. Чтобы включить это подключение, необходимо настроить шлюз виртуальной сети ExpressRoute, чтобы разрешить этот трафик. Дополнительные сведения см. в руководстве по подключению к виртуальной сети через ExpressRoute. Чтобы включить этот трафик, см. статью «Включение подключения VNet-to-VNet или VNet-to-virtual-WAN через ExpressRoute».
БыстрыйПуть
Шлюз виртуальной сети ExpressRoute предназначен для обмена сетевыми маршрутами и маршрутизации сетевого трафика. Функция FastPath позволяет повысить производительность пути к данным между локальной сетью и вашей виртуальной сетью. Если FastPath включен, он отправляет сетевой трафик непосредственно на виртуальные машины в виртуальной сети, обходя шлюз.
Дополнительные сведения о FastPath, включая ограничения и требования, см. в статье о FastPath.
Подключение к частным конечным точкам
Виртуальный сетевой шлюз ExpressRoute облегчает подключение к частным конечным точкам, развернутым в той же виртуальной сети, что и сам шлюз, а также по межвиртуальным сетевым соединениям.
Внимание
- Емкость пропускной способности и уровня управления для подключения к ресурсам частной конечной точки может сократиться наполовину по сравнению с подключением к ресурсам, не являющихся частными конечными точками.
- В течение периода обслуживания могут возникать периодические проблемы с подключением к ресурсам частной конечной точки.
- Необходимо убедиться, что локальная конфигурация, включая параметры маршрутизатора и брандмауэра, правильно настроена, чтобы гарантировать, что пакеты для транзитов IP 5-tuple используют один следующий маршрутизатор (маршрутизатор Microsoft Enterprise Edge), если только не происходит событие обслуживания. Если конфигурация вашего межсетевого экрана или маршрутизатора на физической площадке вызывает частую смену следующего перехода для одного и того же IP 5-комплекса, вы столкнётесь с проблемами подключения.
Подключение к частной конечной точке и запланированные события обслуживания
Подключение к частной конечной точке сохраняет состояние. Когда подключение к частной конечной точке устанавливается через частный пиринг ExpressRoute, входящие и исходящие подключения направляются через один из внутренних экземпляров инфраструктуры шлюза. Во время события обслуживания внутренние экземпляры инфраструктуры шлюза виртуальной сети перезагружаются по одному за раз, что может привести к периодическим проблемам с подключением.
Чтобы избежать или свести к минимуму проблемы с подключением к частным конечным точкам во время обслуживания, рекомендуется задать значение времени ожидания TCP в диапазоне от 15 до 30 секунд в локальных приложениях. Проверьте и настройте оптимальное значение на основе требований приложения.
REST API (интерфейсы программирования приложений REST) и команды PowerShell (cmdlets)
Дополнительные технические ресурсы и конкретные требования к синтаксису см. на следующих страницах при использовании REST API и командлетов PowerShell для конфигураций шлюза виртуальной сети:
| Классическое | Resource Manager |
|---|---|
| PowerShell | PowerShell |
| REST API | REST API |
Соединение VNet с VNet
По умолчанию подключение между виртуальными сетями включается при связывании нескольких виртуальных сетей с одинаковым каналом ExpressRoute. Мы не рекомендуем использовать канал ExpressRoute для обмена данными между виртуальными сетями. Вместо этого рекомендуется использовать пиринг между виртуальными сетями. Дополнительные сведения о том, почему подключение между виртуальными сетями не рекомендуется для ExpressRoute, см. в разделе "Подключение между виртуальными сетями через ExpressRoute".
Пиринг между виртуальными сетями
Виртуальная сеть с шлюзом ExpressRoute может иметь пиринг между виртуальными сетями до 500 других виртуальных сетей. Пиринг между виртуальными сетями без шлюза ExpressRoute может иметь более высокое ограничение пиринга.
Связанный контент
Дополнительные сведения о доступных конфигурациях подключений см. в статье Технический обзор ExpressRoute.
В статье Создание шлюза виртуальной сети для ExpressRoute доступны дополнительные сведения о создании шлюзов ExpressRoute.
Дополнительные сведения о развертывании ErGwScale см. в статье "Настройка шлюза виртуальной сети для ExpressRoute" с помощью портал Azure.
Дополнительные сведения о настройке зонально-избыточных шлюзов см. в статье Создание зонально-избыточного шлюза виртуальной сети.
Дополнительные сведения о FastPath см. в статье о FastPath.